IBM Internet Security Systems スパイウェア対策ソリューションのご紹介 ~ 多層保護で実現するスパイウェア対策 ~ Rev1.1 日本アイビーエム株式会社 ISS 事業部 Copyright IBM Corporation 2008

Size: px

Start display at page:

Download "IBM Internet Security Systems スパイウェア対策ソリューションのご紹介 ~ 多層保護で実現するスパイウェア対策 ~ Rev1.1 日本アイビーエム株式会社 ISS 事業部 Copyright IBM Corporation 2008"

ゆみかそめや
5 years ago
Views:

1 スパイウェア対策ソリューションのご紹介 ~ 多層保護で実現するスパイウェア対策 ~ Rev1.1 日本アイビーエム株式会社 ISS 事業部

2 スパイウェアとは? ユーザの意図とは無関係に広告の表示アプリケーションへの拡張設定や設定変更の実行情報収集を行うプログラムワーム, ウイルスと異なり自己増殖機能は持たない被害例 ( 想定されるものも含む ) - Webブラウザ上に勝手にタグボタンが追加された - キーボード入力を記録され勝手に情報が外部へ送信された - セキュリティソフトがオフになってしまった - レジストリ設定の書換 etc... 参考サイトスパイウェアおよび他の迷惑ソフトウェアへの対処方法 2

3 スパイウェアとは? -IBM ISS の定義分析や追跡を行うアクティビティが存在するアプリケーションのインストールと実行に関してユーザーの承諾を得る正当な手段がないメモリ CPU または通常のリソースの使用率が不当に高いユーザーのマシンを不安定にするアプリケーション企業または業界が認可したセキュリティ機関においてスパイウェアまたはリスクウェアに分類されるアプリケーション * の訳 3

4 スパイウェアはどこからやってくるか?- 被害者を生む経路サーバ所有者が意図的に配布 Web サーバ著名な Web サーバハイブリッドスパイウェアの埋め込み - spamメールによるスパイウェアサイトのpr - メール中のリンクをクリックしてスパイウェア配布サイトへ 2 Web ページへの埋め込み * そうと知らずにアクセスしたらスパイウェアがインストールされてしまったなんでハッカーが管理していない Web ページに埋め込むことができるの? * スパイウェアではありませんが, 著名な Web サイトに悪意あるプログラムが埋め込まれた例として kakaku.com 改ざん事件が挙げられます 4

5 スパイウェア流布のための IT 資産の悪用 - 加害者を生む経路ハッカーが自らが保有しないサーバにスパイウェアを埋め込むときは当該サーバへの不正侵入によりスパイウェアを埋め込みます著名な Web サーバ不正侵入!! スパイウェアの埋め込み不正侵入が行われる際に悪用されるのは IT システム上の脆弱性です - IT システム上脆弱性には OS, アプリケーションのプログラム自身の弱点であるセキュリティーホールやそれらアプリケーションの設定ミス推測されやすいパスワード等が挙げられます 2 5

6 IBM ISS のスパイウェア対策検索と駆除ではなく実行インストールの阻止と感染したスパイウェアの活動の検出 - 実行インストールの阻止には埋め込みの阻止も含む検索と駆除代表例 : Ad-Aware( フリーソフト ) - ローカルコンピュータ上に既に存在しているスパイウェアを検索して駆除 - 感染した後もしくは手元デスクトップ上にファイルの書込みが発生してからの対応策 - 特定のパターンに依存新種への対応が後手に廻る IBM ISS のアプローチ - 実行インストールの阻止インストールまたは実行の前にスパイウェアを停止スパイウェアが感染対象マシンに到達する前に検出防御 - 活動の検出ネットワークの内部または外部にとの接続を試みるスパイウェア起因のトラフィックを遮断 - 集中管理スパイウェア対策を実現する製品群は全て統合管理コンソール SiteProtectorにより一元管理されますそのため万が一スパイウェア感染が発見された場合にも感染ホストの特定や当該ホストのこれまでのイベント検出状況などの情報を即座に収集, 分析する事が可能でありインシデントレスポンスへの移行を支援します - 多層保護 IBM ISS の製品群はゲートウェイネットワークホストのあらゆるポイント上でスパイウェアを阻止します 6

7 IBM ISS のスパイウェア対策 - スパイウェアとの接点を阻止するコンテンツフィルターコンテンツフィルターその 1 : Web フィルター - ネットワークを流れる HTTP トラフィック解析により Spyware カテゴリに分類されるスパイウェア配布サイトスパイウェア起因のHTTPトラフィックを受け付けるサイトへのアクセスを検出防御 - 当該 Webフィルターが参照するデータベースは日々更新 - IPS,IDSによる検出防御を補完コンテンツフィルターその 2 : アンチスパム - スパイウェアのダウンロードへの誘導を図るスパムメールを検出コンテンツフィルター搭載製品 - ゲートウェイ型 - Proventia Network MFS シリーズ 7

8 IBM ISS のスパイウェア対策 - スパイウェアの流入を阻止する VPS VPS(Virus Prevention System)* - ネットワークを流れるトラフィック中のファイルを解析し疑わしい振る舞いをするプログラムを検出問題となるスパイウェアの振る舞いを検出し駆除可能個々のスパイウェアのパターンには非依存 VPS 搭載製品 - ゲートウェイ型 - Proventia Network MFS シリーズ * 日本国内は 2006 年 1-3 月期リリース予定 8

9 IBM ISS のスパイウェア対策 - 被害者発生を阻止する IPS,IDS ネットワークを流れるトラフィックのプロトコル分析により以下の項目を実現します被害の予兆をいち早く察知 - スパイウェアに感染させるための手法として利用されることの多いActiveXコントロールを利用してのインストールの試みの検出防御に対応 - 特定の実行パターンには依存しない為後追いの対応にはならないいくつかの著名な既存スパイウェア起因のトラフィックを検出防御 - 感染した端末が持ち込まれたとしてもいち早く発見可能 IPS,IDS 製品群 - ネットワーク型 - Proventia Network IPSシリーズ - ゲートウェイ型 - Proventia Network MFSシリーズ - サーバ用 - RealSecure Server Sensor / Proventia Server - デスクトップ用 - RealSecure Desktop Protector ( クライアントPC 用 ) 9

10 IBM ISS のスパイウェア対策 - 加害者発生も阻止する IPS,IDS IPS,IDS はスパイウェアを呼び込む要素の検出防御に限らずスパイウェアの埋め込みを誘発するサーバへの不正侵入を阻止します不正侵入を引き起こす各レイヤーに幅広く対応 - 不正侵入を招く要素は ITシステムを構成する各要素に存在するといえます - Webサーバを例に考えれば Webブラウザを通じてユーザに表示する画面情報を最終的に提供するWebアプリケーションを最上位として Webサーバアプリケーション OS TCP/IPレイヤが存在するといえます - IPS,IDSはこれらの各要素を幅広くカバーすることができます狙われるセキュリティホールに焦点を当てた保護戦略 - Virtual Patch TM - IBM ISS の IPS,IDS 製品は不正侵入を狙う個々の攻撃パターンではなくそれらが狙うセキュリティホールを守ることに焦点を当てている為特定の攻撃パターンに依存せず事前防御を実現します 10

経路を遮断する事により多層保護を実現しますアンチスパム Webフィルタ VPS (AS) (WF) 不正侵入防御 (IPS)

11 サーバ所有者が意図的に配布 IBM ISS 製品群によるスパイウェア対策マップ Webサーバ IBM ISS IPS 著名な Web サーバ 1 AS IBM ISS IPS VPS WF IPS VPS WF 2 IBM ISS IBM ISS スパイウェアの埋め込み - それぞれの機能が様々な経路を遮断する事により多層保護を実現しますアンチスパム Webフィルタ VPS (AS) (WF) 不正侵入防御 (IPS) スパイウェア配布の為のサーバの悪用スパイウェアダウンロードを誘導するスパムメールスパイウェアサイトへのアクセススパイウェアのダウンロードスパイウェア自身の通信活動 11

12 本資料に関するお問合せ日本アイビーエム株式会社 ITS 事業 ISS 事業部パートナーセールス部 TEL : isssales@jp.ibm.com URL : 当資料に関するお問い合わせは担当営業または上記までご連絡ください Copyright IBM Japan, Ltd 日本アイビーエム株式会社 Produced in Japan Jun 2008 All Rights Reserved この説明資料の情報は2008 年 6 月現在のものです仕様は予告なく変更される場合があります記載のデータはIBM 社内の調査に基づくものであり全ての場合において同等の効果が得られることを意味するものではありません効果はお客様の環境その他の要因によって異なります製品サービスなどの詳細については ISSSales@jp.ibm.com 弊社もしくはビジネスパートナーの営業担当員にご相談ください IBM IBMロゴ X-Force Proventia Network MFSは International Business Machines Corporationの米国およびその他の国における商標 Microsoftは Microsoft Corporationの米国およびその他の国における商標 Adobeは Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標他の会社名製品名およびサービス名等はそれぞれ各社の商標 12

なぜIDSIPSは必要なのか？(v1.1）.ppt

なぜIDSIPSは必要なのか？(v1.1）.ppt なぜ IDS/IPS は必要なのか? ~ アプローチの違いにみる他セキュリティ製品との相違 ~ (Rev.1.1) 日本アイビーエム株式会社 ISS 事業部ファイアウォール = Good Guys IN アクセスを制御しています決められたルールに乗っ取りルールに許可されたものを通過させそれ以外の通信を遮断しますそのルールは通信を行っているホスト (IPアドレス) の組合せとそのポート番号の情報だけに依存します

IBM Internet Security Systems スパイウェア対策ソリューションのご紹介 ~ 多層保護で実現するスパイウェア対策 ~ Rev1.1 日本アイ ビー エム株式会社 ISS 事業部 Copyright IBM Corporation 2008

IBM Internet Security Systems スパイウェア対策ソリューションのご紹介 ~ 多層保護で実現するスパイウェア対策 ~ Rev1.1 日本アイビーエム株式会社 ISS 事業部 Copyright IBM Corporation 2008